802.1X协议在园区网中的应用
802.1x认证协议在局域网管理中的应用
802.1x认证协议在局域网管理中的应用为了有效控制用户随意接入局域网的行为,满足管理网络的业务需要,在局域网管理中应用802.1x认证协议,是一种比较安全且容易实现的方法。
1.802.1x认证协议802.1x认证协议是IEEE为了解决基于端口的网络接入控制(Port Based Network Access Control)而定义的一个标准,它是一种对用户进行认证的方法,它的最终目的就是确定一个端口是否可用。
端口可以是一个物理端口,也可以是一个逻辑端口(如VLAN)。
对于一个端口,如果认证成功,就“打开”这个端口,允许所有的报文通过;如果认证不成功,就使这个端口保持“关闭”,即只允许802.1x的认证协议报文通过。
802.1x的体系结构中包括请求者系统、认证系统和认证服务器系统三个部分。
1.1请求者系统请求者是位于局域网链路一端的实体,由连接到该链路另一端的认证系统对其进行认证。
请求者通常是支持802.1x认证的用户终端设备,一般把802.1x客户端软件安装在终端电脑上,用户通过启动客户端软件发起802.lx认证,输入用户名、口令等验证信息即可。
1.2认证系统认证系统对连接到链路对端的认证请求者进行认证。
认证系统通常为支持802.lx协议的网络设备,它为请求者提供服务端口,该端口可以是物理端口,也可以是逻辑端口,其主要作用是将客户端输入的验证信息传递到认证服务器,根据认证的结果打开或关闭服务端口。
1.3认证服务器系统认证服务器检验客户端输入的验证信息,将检验结果通知认证系统。
建议使用RADIUS服务器实现认证服务器的认证和授权功能。
2.RADIUS协议RADIUS(Remote Authentication Dial-In User Service,远程认证拨号用户服务)是一种分布式的、客户端/服务器结构的信息交互协议,能保护网络不受未授权访问的干扰,通常被应用在既要求具有较高安全性又要求维持远程用户访问的各种网络环境中。
无线局域网中802_x的相关概念及应用
无线局域网中802.x的相关概念及应用谷秀平(郑州商贸技师学院,河南郑州450000)摘要:分析802.11无线局域网的组网原理和基本安全手段,重点讨论广泛应用的安全协议———IEEE802.1x认证协议,最后简单介绍IEEE802.1x协议的特点、应用和发展方向。
关键词:无线局域网;802.1x;认证服务器;安全协议;WAPI中图分类号:TN925.93文献标识码:AThe Concept&Application of802.x in the Wireless LANGU Xiu-ping(Henan Business College Technicians,Henan Zhengzhou450000)Key words:WLAN;802.1x;authentication server system;security protecol;WAPI1802.11无线局域网的安全机制802.11无线局域网本身提供了一些基本的安全机制。
802.11接入点AP可以用一个服务集标识SSID(Service Set Identifier)或ESSID(Extensible Service Set Identifier)来配置。
与接入点有关的网卡必须知道SSID以便在网络中发送和接收数据。
但这是一个非常脆弱的安全手段。
因为SSID通过明文在大气中传送,甚至被接入点广播,所有的网卡和接入点都知道SSID。
802.11的安全性主要包括以有线同等保密WEP(Wired Equivalent Privacy)算法为基础的身份验证服务和加密技术。
WEP是一套安全服务,用来防止802.11网络受到未授权用户的访问。
启用WEP时,可以指定用于加密的网络密钥,也可自动提供网络密钥。
802.11无线局域网运作模式基本分为两种:点对点(Ad Hoc)模式和基本(Infrastructure)模式。
2802.1x协议的体系IEEE802.1x协议的体系结构主要包括三部分实体:客户端、认证系统、认证服务器。
博达交换机802.1x认证配置手册
6
(Chap-Response/MD5 Challenge)
Radius-access--Request Radius-access--Accept
(Chap-Success)
8
7
802.1X---22
802.1x EAP终结认证图示
3. 结合 结合Radius认证 认证
EAP透传方式: 透传方式: 透传方式
2. System间信息交换 间信息交换
.Authenticator与 Authentication Server 间通过EAP帧
交换信息
.Supplicant 与 Authenticator 间则以IEEE 802.1x 所
定义的EAPoL帧交换信息。
.EAP 帧中封装了认证数据,该认证数据将被封装
缺点:
需要特定的客户端软件
802.1X---19
三、802.1x 在博达交换机上 的认证方式
802.1X---20
1. 本地数据库认证
客户端
1 2 3 4 5 6
博达交换机 EAPOL-Start EAP-Request/Identity EAP-Response/Identity EAP-Request/MD5 Challenge EAP-Response/MD5 Challenge EAP-Success
配置802.1x的AAA认证方式 的 配置 认证方式
dot1x max-req count
配置身份认证请求的最大次数
802.1X---27
802.1x的配置任务 的配置任务
dot1x user-permit xxxx
配置端口下绑定的用户
dot1x authentication method yyy
802.1x在局域网中的应用
802.1x在局域网中的应用摘要:由于随着网络建设规模的发展、网络的安全越来越重要,无线网络、局域网等现在面临着巨大的网络安全挑战,这些网络采用对用户认证作为网络安全的一部分,作为用户认证技术之一的802.1x现在使用也越来越广泛,802.1x能够对用户进行认证、授权使不同用户享受不同的权限。
关键词:局域网;802.1x;认证中图法分类号:TP3文献标识码:A文章编号:1009-3044(2010)08-1821-02Application of 802.1x Protocol to LANYI Da-guo(Dept. of Computer Science, Hunan V ocational Technological Academy of Creature and Mechanical Equipment and Electric Power Equipment, Changsha 410126, China) Abstract: As the scale of network construction with the development of an increasingly important network security, wireless networking, LAN and other networks are now facing a huge security challenges, these networks are used for user authentication as part of network security, as a user authentication technologies one of 802.1x is also now used more widely, 802.1x can user authentication, authorization to enabledifferent users to enjoy various privileges.Key words: LAN; 802.1x; authentication1 802.1x概述随着宽带以太网建设规模的迅速扩大,网络上原有的认证系统已经不能很好地适应用户数量急剧增加和宽带业务多样性的要求。
浅谈802.1X认证技术在校园网中的应用
协
议 ,但校 园 网 中交换机 型 号 较 多 .一 些老 设 备不 支持 8 0 2 . 1 x , 不 同 厂 家
设
备的
8
0
2
I
.
X
扩展 功能也 不 尽 相 同 ,缺乏通 用性 ,给全校 实施统一
的
8 02 1X .
控制措施带来一
定 困难 。
由此 可 见 仅 仅依靠
80
2
I
.
X
这 项 技 术 来解 决 用户 身份 认 证 和应 用
(2
)
实施
80
2
1X
.
的端 口 认 证 , 用户端需 要 安装 专用 的认 证 软件 ,
软件 的分 发和使 用故 障等 问题 增加 了用 户 的上 网难 度 ;
(3 ) 网络 中的交 换设 备 属 于 不 同 厂 商的情况 下 其 完 整 实现 有很 大
难 度 , 由于
802
I
.
X
接入 控制方案需要 二 层 接入 交换机 支持 8 0 2 . I X
防措施 。 才能构建一 个真正 安全 、 可 靠的网络环 境 。
4 结束语
图
l
IE E E
8 02 1X .
认 证 系统体 系结构
3
基于
80 2 1X .
协议 的校园 网认证 系统
近
年来
80
2
i
,
X
接入 认 证 技 术在 高校 校 园 网 中得 到 了 非常 广 泛 的
应 用 。 国 内 的高 校 校 园 网 经 过 多年 的发 展 和 建 设 根 。 据 自身特 点 逐 渐
将用户信 息 和请求参数等作 为一 系列请 求消息 流发送 至 认 证 服 务器 。
基于802.1x的校园网总体服务体系设计与实现
Ab ta t n t s p p r h sr c :I hi a e ,t e i lme t t n o e e a - p r o e c m p s n t r e v c y t m ,wh c n l d s mp e n a i ff g n r l o l u p s a u e wo k s r ie s s e ih ic u e
维普资讯
电
子
测
量
技
术
第2 9卷 第 3 期
20 0 6年 6月
EL ECTRONI C M EAS UREⅣ【 ENT TECHNOL 0GY
基 于 82 I 0 . 校 园 网 总 体 服 务 体 系 设 计 与 实 现 x的
孟 少 卿 鹿 凯 宁 金 志 刚 胡 宇 明
b l n y t m n s rs l- s r ies s e 。i p o s d I i i s s e a d u e ef l g e c y tm v s r p e . EEE 0 . X s d p o e o h y t m 。a d f CI CO o 8 2 I i e ly d f rt es se n S l S CE 0 0 i i to u e n o t e s s e 2 0 s n r d c i t h y tm. I a e o v h o d tC r s l e t e c mmo r b e x s s i h s a u e wo k, n n p o lms e it n t e mo t c mp s n t r s c s e b zi P a d e s b n wi t d a p i t n ma a e n ,a O o . Th o ma o u h a m  ̄ l g n I d r s , a d d h a p l a i n g me t n S n n c o d e n r lc mm u i t n nc i a o me h im d PDU o ma s n tc a e y o rd p o me t O t e s s e c n wo k w t n e d r h r e ca s a n n f r ti o h n d b u e l y n ,S h y t m a r h a y v n o ' Et e n t g i s s t h s Th e t it n t a s r t p cfe w t h swh n u i o e d r rv t 0 . x c in s i w ce. e r s rc i h tmu two w h s e ii s c e e s n s me v n o s p a e 8 2 I l t i o k i d i g i e n t it o u e t h  ̄ t m o n r d c i o t es e d n . Ke r s c m p s n t r y wo d : a u e wo k; b l n ; 8 2 1 ; n t r n g m e t ii l g 0 .x ew k m a e n o a
802.1x认证(网络安全接入控制)
二层网管交换机应用——802.1x认证(网络安全接入控制)802.1x认证介绍802.1x协议作为局域网端口的接入控制机制在以太网中被广泛应用,主要解决以太网内认证和安全方面的问题。
802.1x 协议是一种基于端口的网络接入控制协议,“基于端口的网络接入控制”是指在局域网接入设备的端口这一级,对所接入的用户设备进行认证和控制。
连接在端口上的用户设备如果能通过认证,就可以访问局域网中的资源;如果不能通过认证,则无法访问局域网中的资源。
TL-SL5428 802.1x认证接入实现示例拓扑结构图中以TL-SG2224E做为中心交换机,TL-SL5428做为接入交换机,802.1x认证服务器接在TL-SG2224E上。
下面将介绍实现局域网中每台设备通过802.1x认证接入的配置过程。
1.搭建Radius认证服务器本文以试用版的WinRadius做为认证服务端。
(也可以在Windows Server 上搭建Radius认证服务器。
有关服务器的搭建方法请在网上参考相关资料)认证服务器上的配置:● 服务器IP地址:192.168.1.250● 认证端口:1812● 计费端口:1813● 密钥:fae● 服务器上设置用户账号2.配置TL-SL5428的802.1x功能● Radius配置将服务器上的相关设置对应配置在交换机上。
如果不需要进行上网计费,则不需要启用计费功能。
● 端口配置i. 不启用TL-SL5428级联端口(28端口)的802.1x认证,使认证服务器的在任何时候都能通过该端口接入网络以便认证客户端。
ii.配置其它需要认证的端口。
(TL-SL5428可同时支持基于MAC和Port的认证,这里均采用基于MAC的认证方式)注:● 如果端口的“状态”处于禁用,则该端口下的设备不需要进行认证,始终处于接入网络的状态。
● 控制类型中,“基于MAC”意为着该端口下的所有设备必需单独进行认证,认证通过后才能接入网络;“基于Port”意味着该端口下只要有一台设备认证通过,其它设备不再需要认证也能接入网络。
基于802.1x协议的校园网认证系统的设计与实现
问控制列表 , 用户的后续流量就将接受上述参数的 监管.
22 821 协 议 的认证 机 制 . 0. x 基 于 821 0 .x的认 证 系统 在 客 户端 和认 证 系 统
IE 821 为 基 于 端 口的 访 问 控 制 协 议 , E E 0 .x称 它 能 够在 利 用 IE 0 A 的优 势 基 础 上提 供 E E 82 L N
一
之间使用 E P L格式封装 E P AO A 协议传送认证信 息 , 证系统 与认 证服 务 器之 间通 过 R DU 认 A IS协 议 传送 认 证信 息 . 面 以 E P MD 下 A — 5为 例 , 述 82I 描 0. x 的认 证 流程 . 于 E P M 5的 8 21 证 流程 如 基 A—D 0. x认
认证 服务 器
通常 为 R DU A IS服务 器 , 服 务 该
服务器 ; ( ) 证 服 务 器 产生 一 个 C aeg, 过认 证 5认 hl ne 通 l 系 统 将 R D U cesC al g A I S A cs— h e e报 文 发 送 给 客 l n 户 端 , 中包 含 有 E P R q et 5 C aeg ; 其 A - eusMD 一 hlne / l ( ) 证 系 统 通 过 E P R qet 5 C a 6认 A — eusMD 一 hl / — lne发送 给客户 端 , eg 要求 客户 端进行 认证 ;
dni 报文 , et t y 要求客户端将用户名送上来 ; () 3 客户 端 回应 一 个 E P R sos/ ety A — epnedni 给 I t
认证系统的请求 , 其中包括用户名 ; ( ) 证 系 统将 E P R sos/ ety报 文封 4认 A — epne dni I t 装到 R D U cesR q e 报文中, A I SA cs eus — t 发送给认证
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
0.引言随着园区网规模的逐渐扩大和系统应用的不断深入,计算机网络环境越来越复杂,网络管理难度越来越大。
学习、娱乐、办公、生活等网络应用加大,通过与广域网的互联,实现了与INTERNET 的互联,但是,问题也随之而来,网络系统在运行中会经常出现网络不通、IP 地址冲突等问题,影响了园区网的正常运行,对上网用户的管理与审计也急需加强,在这种需求下,本文介绍802.1X 协议在园区网中的管理与应用。
1.802.1X 协议工作原理802.1x 协议是基于客户机/服务器的访问控制和认证协议,它可以限制未经授权的用户数据通过,在获得交换机或网络提供的各种业务之前,802.1x 协议需对连接到交换机端口上的用户进行身份认证。
在认证通过之前,802.1x 协议只允许EAPOL (基于局域网的扩展认证协议)数据通过设备连接的交换机端口,身份认证完成并通过后,正常的业务数据可以顺利地通过以太网端口。
802.1x 协议为二层协议,不需要到达第三层,对设备的整体性能要求不高,当然需要设备支持802.1X 协议,可以有效降低网络建设的成本,802.1x 的认证体系结构中采用了"可控端口"和"不可控端口"的逻辑功能,从而可以实现业务与认证数据的分离,由RADIUS 和交换机利用不可控的逻辑端口共同完成对用户的认证与控制,业务报文直接承载在正常的二层报文上通过可控端口进行交换,通过认证之后的数据包是无需封装的纯数据包,可以使用现有的后台认证系统降低部署的成本。
2.802.1x 协议工作过程1)终端用户打开802.1X 客户端程序,输入已经在后台认证计费系统中注册的用户名和口令,发起连接请求,客户端程序将发出请求认证的报文送给进行身份认证的交换机,交换机开始启动一次认证过程。
2)交换机收到请求认证的数据帧后,将发出一个请求帧要求用户的客户端程序将输入的用户名送上来。
3)客户端程序响应交换机发出的请求,将用户名信息通过数据帧送给交换机。
交换机将客户端送上来的数据帧经过封装处理后送给认证服务器进行处理。
4)认证计费服务器收到交换机转发上来的终端用户信息后,将该信息与数据库中的用户名表相比对,找到该用户名对应的口令信息,用随机生成的一个加密字对它进行加密处理,同时也将此加密字传送给交换机,由交换机传给客户端程序。
5)客户端程序收到由交换机传来的加密字后,用该加密字对口令部分进行加密处理(此种加密算法通常是不可逆的),并通过交换机传给认证服务器。
6)认证服务器将送上来的加密后的口令信息和其自己经过加密运算后的口令信息进行对比,如果相同,则认为该用户为合法用户,反馈认证通过的消息,并向交换机发出打开端口的指令,允许用户的业务流通过端口访问网络。
否则,反馈认证失败的消息,并保持交换机端口的关闭状态,只允许认证信息数据通过而不允许业务数据通过。
3.应用配置802.1X 协议可以在接入层设备上进行认证,也可以在汇聚层设备上进行集中认证,但为了能更好的地对用户进行管理,如对每条物理链路的最大在线用户连接数控制,更加有利于网络维护,本文采用在接入层交换机上进行分布式认证,使网络流量分布更加合理,更加有利于网络的管理和维护,本文采用3公司的接入层交换机6和M S 认证计费系统为案例进行论述,网络应用如图所示。
图2802.1X 认证应用示意图3.1配置Radius 认证策略、认证域[E126]radius schem e ny[E126-radius-cam s ]serv er-type huawei //认证协议[E126-radius-cams]prim ary authentication 10.10.10.101812//配置身份认证的IP 地址和端口号[E126-radius-cams]prim ary acco unting 10.10.10.101813//配置计费系统的IP 地址和端口号[E126-radius-cams]key authen tication cams //配置认证密钥[E126-radius-cams]key acco unting cam s //配置计费密钥(必须与认证密钥相同)[E126-radius-cams]user-name-format without-domain //配置无域名的用户名格式[E126]dom ain n y[E126-isp-cam s]radius-scheme ny //应用上面配置的Radius 认证策略[E126]dom ain d efault enable ny//配置cams 域为缺省认证域进行认证和计费密钥、端口如果需要修改,则两个密钥必须相同且与CAM S 配置同步,同时必须与策略服务器配置文件定义相一致(策略服务器配置只用到认证端口与密钥)。
3.2在接入层交换机上配置802.1x 认证[E126]dot1x//全局启动802.1x 认证[E126]interface ethernet 0/2[E126-Ethernet0/2]dot1x//在接口下启动802.1X 认证协议[E126-Ethernet0/2]d ot1x supp-prox y-check trap //在接口上启动检测代理功能[E126-Ethernet0/2]d ot1x supp-prox y-check log off //代理检测下线[E126-Ethernet0/2]d ot1x version-check //在接口上检测客户端版本信息[E126]dot1x supp-pro xy -check trap //检测代理功能[E126]dot1x supp-pro xy -check lo go ff在全局模式下启用防代理,检测代理下线33三层交换机上启用三层路由802.1X 协议在园区网中的应用阚纯荣1赵书伟2张琳琳3(1.同济大学中国上海200436;2.南阳市医保中心河南南阳473000;3.南阳理工学院河南南阳473000)【摘要】随着园区网的建设与发展,产生了多种身份认证与计费的方法,本文分析了IEEE802.1X 协议,阐述了该协议的工作原理及身份认证的过程,结合应用实例对设备的配置做详细的说明。
【关键词】园区网;802.1X 协议;认证;计费3H C E12C A 2//.40(上接第424页)证以及信息编码等问题。
为了实现数据的共享及维护的方便,需要构建开放、易维护、实用灵活的校园信息集成支撑平台,实现跨系统的数据服务功能。
图4基于Web Se rvice 构建的校园信息集成平台架构方案4.结束语随着数字化校园建设的不断深入,对信息集成的需求将越来越强烈。
本文提出了一种基于Web Serv ice 的信息集成模型。
其中,应用互操作模型能够较好地解决不同部门应用系统之间信息沟通问题,EIP 信息集成模型能够帮助实现统一的校园信息门户,教师、学生和管理人员经过统一身份认证后,在单点登陆系统,享受个性化的内容服务。
本文提出的信息集成模型同样可以推广到其他的行业应用中。
【参考文献】[1]许鑫,苏新宁,姚毅.数字化校园中统一身份认证系统的分析[J].现代图书情报技术,2005,(03).[2]刘靖超.面向数据采集的信息集成系统设计与实现[D ].河北工业大学,2005.[3]黎波,邱会中.基于SO A 的数字化校园———统一身份认证服务的设计与实现[J].福建电脑,2007,(03).[4]盛昀,方明.数字化校园应用系统架构的研究[J]西安石油大学学报(自然科学版),2005,(01).[5]王红霞.数字化校园中统一身份认证关键技术研究与实践[D ].浙江大学,2005.作者简介:马照瑞(1978—),男,郑州轻工业学院,助教,华中科技大学硕士研究生,主要研究方向:计算机网络及应用。
[责任编辑:翟成梁]●在三层交换机上进行VL AN 划分,启用三层,给VLAN 接口配置上不同的IP 地址,做为该VL AN 下面用户的网关,选用路由选择协议进行路由,由于OSPF 是开放性的标准,真正的无路由自环路由协议,收敛速度快、开销小、安全性高、对网络进行分层设计并可以适应各种规模的网络,最多可达到数千台,所以我们在三层设备上选用OSPF 路由选择协议进行路由,简要配置如下所示:[S1]#v lan 2[S1-v lan2]#port e 0/1[S1]#int v lan 2[S1-v lanif2]#ip address 192.168.200.1255.255.255.0[S1]#o spf 1[S 1-OSPF]#area 0.0.0.0[S 1-OSPF-area 0]netwo rk 192.168.200.00.0.0.255以上对端口划分到相应的VL AN 中,对VL AN 接口配置相应的IP 地址,启用OSPF 路由协议,对相连的网段进行路由发布,使用不同网段通过路由进行通讯。
4.802.1X 协议的优点802.1X 协议是纯以太网技术内核,保持了IP 网络无连接特性,不需要进行协议间的多层封装,去除了不必要的开销和冗余;消除网络认证计费瓶颈和单点故障,易于支持多业务和新兴流媒体业务。
可在普通二层、三层交换机上就可以实现,网络综合造价成本低,保留了传统AAA 认证的网络架构,可以利用现有的RADIUS 设备。
在二层网络上实现用户认证,结合M AC 地址、端口号、VLAN 、账号和口令等进行多种绑定,进行分布式部署,在物理端口进行认证,具有很高的安全性。
控制流和业务流完全分离,易于实现跨平台多业务运营。
802.1x 协议具有完备的用户认证、管理功能,可以很好的支撑宽带网络的计费、安全、运营和管理要求,对宽带IP 城域网等电信级网络的运营和管理具有很大的优势。
802.1x 协议对认证方式和认证体系结构上进行了优化,解决了传统PPPOE 和WE B/PORTAL 认证方式带来的问题,更加适合在宽带以太网中的应用。
5.总结随着网络的发展,宽带运营商非常关注全网解决方案,如何运营和管理现有的宽带网络最大限度的发挥作用,在企业信息化和自动化的发展过程中各企业投入大量资金建设企业网,提高了工作效率,对信息的管理用户进行分级管理,在接入层交换机上通过802.1X 协议的分布式部署,在物理端口进行身份认证,大大提高的网络的运行速度和管理水平,在三层交换机配置VL AN 并进行路由,使广播域的规模减少,广播域的数量增加,有效地控制网络的广播,对ARP 等病毒所引起的网络中故障问题也是一个有效的解决方案,经实践证明本方案在网络建设、管理中具有广泛的应用空间和良好的应用价值。
【参考文献】[1][美]Pete Loshin,《TCP/IP 透彻理解》(第四版),电子工业出版社,2003.9.[2][美]Richard D eal 著,《CCN A 学习指南》,人民邮电出版社,2004.7.[3]梁广民等著,《思科网络实验室路由、交换实验指南》,电子工业出版社,2007.8.[4]肖新峰等著,《TCP/IP 协议与网络管理标准教程》,清华大学出版社,2007.7.[5][美]Bae rWolf 公司,《CCIE 路由与交换技术》,人民邮电出版社,2003.1.[6][美]Alexander Clemm 著,《网络管理技术架构》,人民邮电出版社,2008.1.作者简介:阚纯荣(1983—),女,同济大学通信专业,硕士研究生。